HW蓝队/红军——防守统筹组织

HW统筹及保障目标确定

HW统筹的各个阶段

• 启动：即统筹阶段，明确目标、设立组织架构、明确工作职责、负责人；建立HW日常工作机制；确定安全意识培训等内容。
• 备战：进行资产梳理、核实；确定网络安全加固方案；安全设备部署与策略优化。
• 临战：进行模拟演练，验证方案有效性，并针对模拟结果进行总结纠正；持续优化防守方案与策略。通常为两轮演练。
• 决战：再次明确演习分工职责、明确工作机制；现场值守、搜集情报、应急响应溯源等。
• 总结：复盘，总结经验教训，发现问题，形成长效安全机制，并为下一次HW沉淀经验

HW保障目标制定

• 确定参演单位的HW保障成绩目标，通常会从行业性质、企业自身需求以及资源投入等方面进行考虑
  • 行业性质：公共通信和信息服务能源、交通、水利、金融、公共服务、电子政务等国家关键基础设施单位
  • 自身需求：行业地位、上级单位要求、下级配合程度或配合能力
  • 资源投入：HW的资源投入包括：资金、人员、设备等
• HW期间，短时间内需要大量资源做支撑，参演单位应根据实际安全防护能力情况并结合投入预算确定在HW演习期间的软硬件、人力资源分配方式。
  • HW攻击的目的性很强“利用一切短板、拿下目标”也就是说，只要时间人力投入够，没有拿不下的目标。这就给我们接下来要做的防护工作带来了挑战。
  • 此处强调资源配置的基本原则：
  • 攻击是对防护体系的检测，防护体系中的任何短板都有可能被利用，任何一家的监测、防护类产品都不能完全满足要求，而需要互相弥补;防守需要大家共同配合，客户、安全服务商、应用服务商、运维服务商一起“协同防护”。

HW保障资源确定

• 根据掌握现状简单盘点需要增补的安全设备，根据保障目标的重要性查漏补缺。
• 以HW过程中事件处置场景所需人员技能要求为例，如需增补人员时应考虑的要求
  • 监测发现：需要熟悉防火墙等安全设备的人员行动期间需要实时查看安全设备日志
  • 分析研判：需要熟悉内网络拓扑结构行动期间需要配合安全技术人员进行攻击分析，定位攻击源;需要熟悉业务流程的人员，对安全人员提出的修复建议进行审核把修复方案造成的影响控制到最小
  • 应急处置：对处置建议审核并实施，实施之后把处置结果反馈给分析组和协调组；安全设备及网络管理人员负责实施分析组给出的处置建议，主要为设置封堵操作，做黑白名单处理
  • 通报预警：善于书写报告整理、汇总监测小组、分析小组和处置小组提供的监测及处置报告，编制最终的攻击监测及应急处置报告并报送至公安部平台
  • 协同联动：需要熟悉各组别的人员，并能够实施调动
  • 追踪溯源：需要具备跟踪溯源的能力

HW保障任务优先级

• 在HW过程中，应与企业明确目标，明确HW目标的情况下确定保障任务的优先级，了解企业可接受的范围或程度。重点目标采取重要措施，保证在有限的资源下发挥最大的价值。针对在HW过程中可能出现的情况做分析，提前确定处置策略。
• 在HW过程中，会出现因安全需要而将一部分业务关停的情况
• 通过确定保障任务的优先级，辅助决策，缩短HW过程中响应处置的时间。

HW保障目标制定

• 排名成绩
  • 在行业中的名次
  • 失分可接受程度范围
• 实战成绩
  • 保障靶标及重要系统不被拿下
  • 保障核心区域不被入侵
  • 保障边界不被突破
  • 有溯源加分

HW整体计划制定及目标分解

根据SMART原则针对总体目标进行分解，将目标分解成具体的任务项，的目标尽量是明确、可量化、可实现的。

计划制定及目标分解

• 启动：应充分理解HW背景与规则，结合企业自身现状与工作要求，组建团队；梳理安全现状，差距分析，制定优化方案，使安全防护水平与目标一致。
• 备战：应全面识别硬件设备、应用/系统及数据流等资产相关信息，评估资产重要性充分理解资产/人员在HW场景下的安全风险，并将已识别的风险强化防护;评估组织对风险的容忍度，并管理供应商/第三方可能存在的风险问题。
• 临战：应建立对异常情况的管控流程，通过演练验证其有效性，并持续优化管控流程。
• 决战
  • 持续安全监控
    • 网络安全持续监控:明确监控要求和指标，持续监控网络安全检测/防护设备、平台告警日志以发现潜在的风险和网络安全事件；
    • 物理监控巡检：定期巡检、监视物理环境以检测潜在的物理入侵行为；
    • 个人行为监控：基于行为管控设备定期审计是否存在异常用户行为（包括但不限于:远程访问记录、安全/运维管控设备、操作记录、认证/授权申请记录等）
  • 分析研判
    • 关联研判事件影响：对接监控团队，汇总安全事件信息，关联分析研判，初步评估事件影响;
    • 事件取证：基于各项安全工具/设备/平台对安全事件进行取证;
    • 启动响应预案：明确事件分类分级，启动相应的响应预案，协同开展事件响应工作;
    • 接收、分析威胁情报：定期从威胁情报通道被动/主动获取威胁情报，分析情报准确性，判断是否需要启动响应预案;
  • 事件沟通协同
    • 信息有效传递：确保安全事件相关信息在响应处置过程当中按照响应预案约定要求和模版进行传递，管理信息传递的准确性和时效性；
    • 协调指挥响应工作：确保响应相关责任人/部门按照响应预案开展处置工作，协调推动工作开展;
    • 安全事件沟通上报：针对事件响应相关结论与报告，及时与内部演练指挥组沟通汇报，获取必要的支持。并强化与外部裁判组沟通，上报得分以及发起申诉:
  • 总结
    • 总结事件响应经验：及时总结安全事件响应经验教训，快速调整响应流程以及响应预案;
    • 优化调整防护策略：基于事件响应结果总结特征规则，快速调整防御检测规则/策略;
• 总结：应对启动、备战、临战、决战阶段的各项工作进行复盘总结，验证已采取措施的效果与不足，识别过程中疏漏的安全问题，优化工作流程提高效率，不断向体系化、常态化、实战化的方向发展。

HW保障沟通协同

• 高效原则：HW期间时间是最宝贵的资源制定合理的沟通机制和利用好沟通协调工具，能有效降低沟通成本，提高沟通效率
• 清晰原则：HW期间团队大多数是临时组建的，而且涉及相关方比较多，很多事情理解上可能会存在偏差，传达的事情需要尽量明确，能避免因为不清晰造成的返工
• 保密原则：工作过程中外部人员可能会接触很多组织内的敏感信息，如内部IP地址、网络拓扑、组织架构等等

沟通工具选择

• 即时沟通工具
  • 内网聊天工具主要用于在纯内网工作环境下的快速沟通，比如任务同步及督办、信息传递和确认、非正式文件传递等，同时避免人多手杂造成的重要信息外泄(e.g.腾讯通RTX等)
  • 互联网聊天工具主要用于非纯内网环境下的快速沟通，比如有远程团队需要参与相关工作的情况下典型的场景是攻防演练的时候，内外部沟通(e.g.微信、钉钉、飞书等)
• 电子邮件：一些正式交付文件、会议纪要、报告传递防守等，需要注意的是进行文档加密通过其他渠道发送密码
• 共享文档：非常推荐的协同工具，比如任务进度、督办跟进记录以及多部门协同信息收集神器，需要注意的就是保密性
• 定制化协同平台：一些固定处理流程的平台，例如决战阶段的应急处理，通过协同平台进行告警上报、研判、处理等闭环任务
• 组间联络表：关键人员的联系表，主要团队之间很多人可能都互不认识，紧急的时候能电话联系到相关人员

HW启动会

• 确定项目规划和目标
• 明确参与HW保障启动会的相关人员
• 预定会议室及发布会议通知
• 传达组织保障目标、战略和工作要求
• 强调内外部责任
• 宣贯保障团队和工作职责
• 领导总结发言

HW计划执行与监控

在布防时间充裕的情况下(有2个月或以上的准备时间)，可以选择稳扎稳打的策略进行全面的布防准备。通常可开展如下工作：

1. 资产梳理：资产梳理是整个布防工作的第一步，也是最重要的一步，后期所有的工作都会围绕着资产开展，而网络架构分析是后期布防策略的重要依据，因此在这一环节要保证准确性。
2. 风险排查与加固：风险排查与加固的目的在于发现存在的安全风险，因此需要重点关注安全风险的整改与加固情况，推动整改往往需要投入极大的精力。

资产梳理

资产梳理范围

• 区域：互联网区、办公区、生产区、开发测试区、大数据区、外联区等
• 范围：业务系统、应用系统、办公系统、数据库、中间件、服务器、存储设备、网络设备、安全设备、网络拓扑结构
• 维度：IP、域名、开放端口、服务、编号、用途、版本、型号、数据、操作系统、使用状态、账户、弱口令、通信方式、资产负责人、联系方式等

资产梳理方式

• 调研：人工进行访谈、调研，不间断盘点、跟踪、核查与确认，保证调研信息细粒度。
• 工具检索：使用网络扫描等技术手段进行资产测绘提升资产管理的覆盖面和精细度。

确定资产关联的属性

• 资产设计的组织、业务、空间位置
• IT资产与管理属性关联整合
• IT资产与业务场景的关联
• 将资产的安全职责落实到人

资产优先级确定

综合多个维度，为资产进行权重定级，快速鉴别安全事件对业务的影响及可能波及的资产范围。

风险排查与加固

准备工作

1. 梳理全网网络架构并基于现状梳理常见攻击路径
   • 网络拓扑：网络拓扑图，包括安全设备、网络设备、IP地址等信息
   • 资产表：详见资产梳理
   • 防火墙策略：防火墙上的ACL及NAT列表
   • 网络攻击路径：基于实战经验梳理的常见网络攻击路径
2. 针对靶标及关联系统、其他同等重要系统、互联网发布系统进行测试并进行整改优化。
   • 已有后门排查：杀毒软件、漏洞扫描、HIDS检测
   • 访问途径评估：访问路径是否进行严格限制
   • 应用漏洞排查：漏洞扫描+手工验证
3. 结合攻击路径梳理结果，对特定场景专项评估，包括互联网泄露信息清查、邮件钓鱼WIFI专项测试、物理入侵、内网重要区域间横向测试并进行修复整改。
4. 检测/防御措施覆盖分析，根据分析结果进行安全设备增补并进行验证措施有效性。
   • 梳理业务流量，保证所有请求流量都在防御体系监控范围内；
   • 核心资产具备纵深防御；
   • 设备防御能力合理搭配，防御能力覆盖全面(应用、网络、主机)；
   • 安全策略调优，给策略决策平台提供可信可控的基础数据
   • 设备特点相互补充，必要时可进行旁路冗余部署;
   • 应急响应流程明确
5. 针对全员的HW专题安全意识培训

风险排查要点

• 网络安全域划分：明确安全域划分原则及业务分布，其中靶标系统所在安全域、开发测试区、互联网DMZ区、运维管理区、第三方外联及专线区、办公区等，需重点关注。
• 访问控制关系：明确域间及域内访问控制关系，同时，梳理防火墙访问控制列表及NAT列表，绘制可视化访问关系及入侵防护图谱。
• 攻击面评估：根据资产表及常见攻击路径，梳理内外网易受攻击资产，明确攻击面风险。
• 入侵防护评估：根据网络拓扑及攻击面，梳理入侵防护现状及风险，包括安全措施和安全设备覆盖度。

风险加固要点

• 网络隔离：通过发现的问题基于权限、端口、服务、访问最小化原则，加强内外网隔离、安全域间/域内隔离及收敛访问关系，并通过工具进行验证，如内外网端口扫描、NAT列表定期审查。
• 攻击面收敛：资产迁移、老旧资产下线、定时开关、统一互联网出入口、增强防护措施(双因素认证、安全设备部署、统一身份认证等)等

HW应急流程建立

• 根据现场环境，制定HW应急响应流程(战时保障流程)，明确战时的工作流程及人员分工，并可以结合实际战况动态调整，提高现场工作效率
• 有效的应急处置流程对HW防护工作至关重要。通常会依据自身经验并结合实际情况来制定该流程，并做最终的沟通确认，然后通过多轮的攻防演练来验证、优化和改进流程。

应急预案制作

1. 明确应急组织架构及确定协同方式;
2. 结合HW规则定义安全事件分级分类
3. 应急响应工作流程图和联系人表;
4. 事件分类处置详细计划

安全体系验证

组织开展攻防演练实战以验证整体安全体系建设根据实际情况可做如下安排：

1. 基于布防前开展攻防演练，以验证企业现有的布防情况，暴露问题为主；
2. 基于完成布防后开展攻防演练，查缺补漏为主，其次可关注应急处置流程的运行情况，动态调整和优化
3. 正式HW开展前开展攻防演练，正式考试前的模拟考，重点在应急处置流程，需要关注应急处置流程的执行效率，在正式HW前使每个相关人员都能熟悉流程。